지난해 전 세계 분산 서비스 거부(DDoS) 공격이 전년 대비 두 배 이상 급증하며 총 4710만건을 기록한 것으로 나타났다. 특히 31.4Tbps(테라비트/초)에 달하는 사상 최대 규모의 공격이 발생해, 국가 전체의 인터넷 연결을 마비시킬 수 있는 수준의 사이버 위협이 현실화되고 있다는 경고가 나온다.

클라우드플레어(Cloudflare)가 지난 5일 발표한 '2025년 4분기 DDoS 위협 보고서'에 따르면, 지난해 DDoS 공격 건수는 전년 대비 121% 증가했다. 시간당 평균 5376건의 공격이 자동 탐지·차단됐으며, 이 중 3925건은 네트워크 계층 공격, 1451건은 HTTP DDoS 공격이었다. 2023년과 비교하면 공격 건수가 236%나 늘어난 수치다.

가장 가파른 증가세를 보인 것은 네트워크 계층 DDoS 공격이다. 지난해 네트워크 계층 공격은 3440만건으로 전년(1140만건) 대비 세 배 이상 폭증했다. 이 중 약 1350만건은 2025년 1분기 18일간 집중적으로 이뤄진 대규모 캠페인으로, 클라우드플레어의 인프라와 고객을 동시에 겨냥했다.

지난해 4분기에는 '아이수루-킴울프(Aisuru-Kimwolf)'로 불리는 봇넷이 대규모 공격을 주도했다. 이 봇넷은 악성코드에 감염된 안드로이드TV 등 약 100만~400만 대의 기기로 구성된 것으로 추정된다. 지난해 12월 19일 시작된 이른바 '크리스마스 전야' 캠페인에서 이 봇넷은 초당 2억건 이상의 요청을 쏟아내는 대규모 볼류메트릭(volumetric) HTTP DDoS 공격을 감행했다. 캠페인 기간 중 기록된 최대 공격 속도는 초당 9십억 패킷(Bpps), 24Tbps, 초당 2억500만 요청(Mrps)에 달했다. 보고서는 이를 “영국·독일·스페인 인구를 합친 수가 동시에 같은 웹사이트 주소를 입력하고 엔터를 누르는 것과 맞먹는 규모”라고 설명했다.

공격 규모도 급격히 커지고 있다. 지난해 발생한 한 공격은 단 35초 만에 31.4Tbps를 기록하며 공개 보고 기준 세계 최대 기록을 세웠다. 2025년 한 해 동안 공격 규모는 700% 이상 성장한 것으로 분석됐다. 4분기에만 대규모 볼류메트릭 공격이 전 분기 대비 40% 증가했다.

업종별로 보면, 통신·서비스 제공업체·이동통신사가 가장 많은 공격을 받은 업계로 나타났다. 이전까지 1위였던 정보기술(IT) 및 서비스 업계를 제쳤다. 도박·카지노 업계가 3위, 게임 업계가 4위를 차지했다. 생성형 인공지능(AI) 서비스를 제공하는 기업들도 집중적인 표적이 됐다.

지역별로는 중국이 가장 많은 공격을 받았고, 홍콩이 전 분기 대비 12단계 상승해 2위에 올랐다. 영국은 36단계나 급등하며 6위를 기록, 가장 큰 변동폭을 보였다. 독일·브라질·미국이 상위 5위권을 유지했고, 베트남·아제르바이잔·인도·싱가포르가 뒤를 이었다.

공격 출처 국가로는 방글라데시가 인도네시아를 제치고 1위에 올랐다. 에콰도르가 2위, 인도네시아가 3위로 밀려났고, 아르헨티나가 20단계 급등해 4위를 차지했다. 공격 발원 네트워크로는 디지털오션(DigitalOcean), 마이크로소프트, 텐센트, 오라클, 헤츠너(Hetzner) 등 주요 클라우드 컴퓨팅 플랫폼이 상위를 차지했다. 보고서는 "쉽게 만들 수 있는 가상 머신과 대규모 공격 사이의 강한 연관성을 보여준다"고 분석했다.

클라우드플레어는 이번 보고서에서 “DDoS 공격이 빠르게 정교해지고 규모가 커져 이전에는 상상할 수 없던 수준을 넘어섰다”며 “온프레미스 완화 장치나 온디맨드 스크러빙 센터에 의존하는 조직은 방어 전략을 재평가해야 한다”고 권고했다.